WinsockExpert+NC抓包上传之拿WEBSHELL

知识补充：

nc上传漏洞在原理上同动网上传漏洞一样，都是利用计算机在读取字符串时，遇到'\0'(00)时，认为字符串结束了，从而丢掉后面的字符串，正如unicode编码特性一样，可被人利用，尽管在这里网站过滤了路径，但任然从用户处接收文件名，我们同样可以在字符串中构造'\0'(00)，又在结尾处构造jpg，因为扩展名是从右读取的，它认为文件类型是jpg，从而可以绕过扩展名验证而上传；在保存时，文件名又是从左边读取的，当它遇到'\0'(00)时，后面就都丢掉了！于是，文件就被保存成我们先要的asp文件了！

实例说明：

工具：

1.啊D注入工具

2.asp小马+asp大马

3.WinsockExpert

4.C32asm

5.nc

1.通过啊D注入工具，跑出后台，跑出注入点，跑出username && pasword

2.登录进入后台：

没有数据库备份，怎么办？那就找文件上传漏洞，看看能不能直接上传木马

呵呵！不能直接上传asp木马！怎么办？那么我们就来上传图片进行抓包！

复制winsockexport中前两行的内容到nc_source.txt中

然后修改数据包

1.修改上传文件路径及名称

改包前：

改包后：（注意：jc.asp后面有一个空格，必须！）

2.修改数据包的大小

复制nc_source.txt中除winsockexport抓到的第一行的内容，粘贴到另外的记事本bao.txt中

查看bao.txt的大小：

数据包修改前的大小：

数据包修改后的大小：

修改数据包的结束处（这一点最重要）：

定位到jc.asp，然后修改jc.asp后的那个空格（20填充为00），保存退出即可！

使用nc上传

开始上传：

jc.asp上传成功

jc.asp的真实路径：D:\vhosts\9zjw.com\httpdocs\admin\web\UploadFile\product\jc.asp

改成jc.asp的相对路径：http://www.9zjw.com/admin/web/UploadFile/product/jc.asp

上传大马：

大马上传成功，得到webshell：

摘自：http://wenku.baidu.com/link?url=D_jytoJJ54uPWUdheK7K7r3XHh7cneZuNcI1psnVda65_Vc24ZedpsnmkDEYzw_7l_FhKYJZ5fiAJpiIOrGejCL36ONvCShoyzmbpg4R2ba